Интелигентните ключалки на Tapplock са „напълно унищожени“ от тестери за проникване

За продукт, който е подкрепен до над $300 000 на Indiegogo — над 500 процента от първоначалната си цел — Tapplock има лоша седмица в отдела за сигурност. По-конкретно, някои приятелски настроени хакери в Партньори за Pen Test успяха да разбият интелигентното заключване с Bluetooth за секунди, използвайки само мобилен телефон.

Отключена

Дигитални тенденции писа за ключалката и неговия „най-съвременен криптиран сензор за пръстови отпечатъци“ през 2016 г., но интелигентното заключване на стойност $100 се оказва да бъде доста уязвим за проникване в сигурността, както по отношение на физическия си състав, така и на своята сигурност платформа.

Препоръчани видеоклипове

Първо, физическият му състав е донякъде компрометиран. Разбира се, чифт резачки за болтове могат да преминат през ключалката като горещ нож през масло, но това важи за повечето ключалки на потребителския пазар. Няма значение, че ключалката дори не е водоустойчива, а просто „водоустойчива“. Оказва се, че ключалката е направена от индустриална сплав, наречена Zamak 3, съставена от цинк алуминий, по-често срещан в ляти под налягане играчки и дръжки на врати, елемент, който не е здрав, крехък е и се топи при температури под 800 градуса Фаренхайт. За сравнение, горелка само с въздух гори при повече от 3600 градуса F, докато факла, захранвана с кислород, се запалва при повече от 5000 градуса.

Но това не е всичко по отношение на физическата сигурност. Няколко потребители на YouTube вече пуснаха видеоклипове, демонстриращи крехкостта на ключалката. На 1 юни се обади потребител JerryRigEverything успя да използва лепкава стойка GoPro, за да премахне задната част на ключалката, да я демонтира с отвертка и да отвори скобата. Впоследствие CNET опитах същия трик и не можа да разбие ключалката, така че дали ключалката е физически защитена, все още е във въздуха.

Междувременно Tapplock издаде изявление, че всички бъдещи партиди брави ще използват собствени винтове във вътрешните камери като вторичен защитен механизъм. Компанията също така предлага безплатни заместители на всеки клиент, който успее да счупи задния капак, без да повреди ключалката.

Серия TappLock: Вашият пръстов отпечатък, Вашият TappLock

Междувременно компанията се справя с по-голямото главоболие от възможността Pen Test Partners да пробият вътрешния софтуер на Tapplock в по-малко от две секунди. Процесът отне на тестерите за проникване по-малко от час. Софтуерът не само излъчваше през некриптирани HTTP линии, но и ключалките използват едни и същи данни всеки път. Всеки лош играч в същата мрежа може да надуши трафика, да вземе данните за отключване и да ги използва, за да отключи устройството завинаги. Няма възстановяване на фабричните настройки за ключалката.

„Това ниво на сигурност е напълно неприемливо“, написа Изследователят на Pen Test Partners Андрю Тиърни. „Потребителите заслужават по-добро и да се отнасяте така с клиентите си е изключително неуважително. Честно казано, нямам думи.”

Когато бъде информиран за гърба, поддръжникът на Tapplock Пишон лаборатория каза на Тиерни, "Ние сме добре запознати с тези бележки."

Впоследствие компанията казва, че надгражда своя QA процес и изтласква кръпка за сигурност, за да се справи с уязвимостта на своя софтуер. Неговите QA процедури сега включват проверка в 2 стъпки, за да се гарантира, че пружинният механизъм на бравата е правилен ефективен, докато софтуерна корекция надгражда протокола за сигурност, който включва допълнителни стъпки за удостоверяване. Корекцията включва актуализация на приложението, както и актуализация на фърмуера, администрирана чрез собственото приложение на компанията.

Pishon Labs също предлага Благодаря на Pen Test Partners за „навременното бързо и етично разкриване“.

Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.